FMG工廠安全手冊（六）

資訊技術
 
 
  （一）廠方通過使用防火牆、員工密碼以及防病毒軟體，保護其 IT 系統免被非法使用和進入（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 
 
要求：
 
 
•          廠方必須使用防病毒軟體和防火牆保護其 IT 系統
•          廠方必須要求使用者輸入登錄名/密碼後，方可進入 IT 系統。
 
附加安全建議（標準 1）：
 
•          其他安全措施建議：
 
ü        鎖上存放主伺服器的房間：伺服器和設備的實際保護。應將其存放在上鎖的房間內。
ü        128 位元加密：針對Internet 通信和交易的最高保護級別。加密時會以電子方式將資訊打亂，這樣在資訊傳送過程中，外部人員查看或修改資訊的風險就會降低。
ü        公鑰基礎架構 (PKI)：保護通過 Internet 發送的機密/秘密電子資訊的方式。資訊發送人持有私鑰，並可向資訊接收人分發公鑰。接收人使用公鑰將資訊解密。
ü        虛擬專用網路：此方法將所有網路通信加密或打亂，提供網路安全或保護隱私。
 

（二）廠方定期將資料備份（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 
 
 
要求：
 
•          廠方必須備份資料，確保即使主要 IT 系統癱瘓（出於病毒攻擊、工廠失火等原因），記錄也不會丟失。
•          資料可以不同方式備份，較為簡單的方式有軟碟或光碟，較複雜的方式有異地備份伺服器。
 
附加安全建議（標準 2）：
 
 
•          電腦系統每日創建或更新的關鍵資料應每日備份。
•          所有軟體（不管是購買的還是自行開發的）都應至少進行一次完整備份以作出保護。
•          系統資料應至少每月備份一次。
•          所有應用程式資料應根據“三代備份原則”每週完整備份一次。
•          所有協定資料應根據“三代備份原則”每週完整備份一次。
•          應制定資料備份政策，確定資料備份歸檔的方式。要有條理並高效地備份資料，歸檔是必要的。每次備份資料，應將以下幾項內容歸檔：
1.        資料備份日期
2.        資料備份類型（增量備份、完整備份）
3.        資料的代數
4.        資料備份責任
5.        資料備份範圍（檔/目錄）
6.        儲存運算元據的資料媒體
7.        儲存備份資料的資料媒體
8.        資料備份硬體和軟體（帶版本號）
9.        資料備份參數（資料備份類型等）
10.     備份副本的儲存位置
•          每日備份應在辦公時間過後、電腦使用率較低的情況下進行。備份資料應儲存在磁帶備份驅動器中，因為其容量大、可以移動；也可將備份資料儲存在硬碟中。對於大型企業，強烈建議使用備份伺服器和異地存儲。
•          備份資料應存放在安全的異地位置。
¨        所有備份媒體應存放在安全可靠的地點。所有每週備份媒體應存放在防火保險箱內。所有軟體完整備份和每月備份媒體應存放在異地備份檔案室。
 
 
（三）廠方應制定相應的程式，確保員工定期更改密碼（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 
 
 
要求：
 
•          所有可以使用電腦系統的員工必須至少每年更改密碼兩次。
•          程式示例：員工必須至少每半年更改密碼一次
 
附加安全建議（標準 3）：
 
•          網路管理員應負責通知電腦用戶更改密碼。網路管理員應指定更改密碼的頻率和日期，伺服器運行軟體將提醒員工進行更改。
•          對於未能在指定日期內更改密碼的員工，應鎖閉其對電腦網路的使用，直至系統管理員解除鎖閉為止。
•          密碼應為字母和數位的組合，長度至少為六個字母和符號。不應採用“明顯”密碼，例如出生日期、城市名等。
•          為防止密碼有可能會被洩漏或破譯，員工應經常更改密碼。如果員工懷疑密碼已被洩漏，應立即使用新密碼。
 
 
（四）廠方應制定政策，決定哪些員工有權進入其 IT 系統（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 
 
 
要求：
 
 
•          廠方必須制定書面程式，確定哪些員工有權進入其 IT 系統。
•          程式示例：僅允許以下部門的員工進入 IT 系統：行政、薪酬、倉儲、訂單以及銷售部門。
 
 
附加安全建議（標準 4）：
 
•          廠方應根據員工的職責賦予其相應的許可權。例如，只負責發薪的員工不能使用發票或訂單表格。
•          雇用新員工後，其直接主管必須確定該員工是否需要進入 IT 系統。如果確實需要，主管應為此員工申請使用權。主管應向 IT 經理遞交一份書面申請表格，注明員工的姓名及其需要使用的應用程式。
 
“資訊技術”附加安全建議
 
•          廠方應制定書面的災後重建計畫，以恢復電腦網路及其資料。
•          IT 團隊應每年至少預演一次災後重建計畫。
•          災後重建計畫可以定義為計畫、制定並執行災後重建管理程式的持續過程，目的是在系統發生意外中斷的情況下確保重要的公司運作可以迅速有效地恢復。所有災後重建計畫必須包含以下元素：
o         關鍵應用程式評估
o         備份程式
o         重建程式
o         執行程式
o         測試程式
o         計畫維護
•          IT 災後重建計畫應為廠方企業災後重建計畫的一部分。
o         廠方應委派一位高級管理人員領導 IT 災後重建小組。
o         IT 災後重建小組應識別廠方網路架構的元件，以便制定並更新應急程式。
o         IT 災後重建小組應對廠方的 IT 系統進行風險評估分析並將其歸檔。
o         IT 災後重建小組應評估並區分需要支援的關鍵和次要業務功能的優先次序。
o         IT 災後重建小組應為所有關鍵和次要業務職能制定、維護並記錄書面策略性重建程式。
o         IT 災後重建小組應確定、維護並分發可協助工廠災後重建的關鍵和次要業務功能人員名單。
o         IT 災後重建小組應制定、維護並向所有 IT 員工和每個關鍵及次要業務功能的負責人分發書面的 IT 應急計畫培訓綱要。
o         IT 災後重建小組應從各方面測試 IT 應急計畫 - 至少每年一次。這對應急計畫的成功至關重要。
o         IT 災後重建小組應制定、維護並記錄有效的IT 應急計畫年度評估。